TP-Link Archer NX200、NX210、NX500 和 NX600 漏洞(CVE-2025-15517 至 CVE-2025-15519 和 CVE-2025-15605)安全公告
5212 漏洞及影響描述:
CVE-2025-15517:HTTP 伺服器端點中的授權繞過漏洞
HTTP 伺服器對某些 CGI 端點缺少驗證檢查,導致未經驗證的使用者也能存取原本只有經過驗證的使用者才能存取的資源。攻擊者可能無需身份驗證即可執行特權 HTTP 操作,包括韌體上傳和配置操作。
CVSS v4.0 分數:8.6/高
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
CVE-2026-15518:無線控制 CLI 路徑中的命令注入漏洞
CVE-2026-15519:數據機管理 CLI 路徑中的命令注入漏洞
管理命令列介面 (CLI) 命令中不當的輸入處理會導致精心建構的輸入被作為作業系統命令的一部分執行。擁有管理員權限的已認證攻擊者可以在作業系統上執行任意命令,從而影響設備的機密性、完整性和可用性。
CVSS v4.0 分數:8.5 / 高
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVE-2025-15605:配置加密機制中硬編碼的加密金鑰
此設備配置機制中硬編碼的加密金鑰允許對設備配置資料進行解密和重新加密。經過驗證的攻擊者可以解密設定檔、修改設定檔並重新加密,從而影響裝置設定資料的機密性和完整性。
CVSS v4.0 分數:8.5 / 高
CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
受影響的產品/版本及修復:
|
受影響產品 |
受影響的硬體版本/韌體版本 |
|
Archer NX600 |
• v3.0:< 1.3.0 版本 260309 |
|
Archer NX500 |
• v2.0:< 1.5.0 版本 260309 |
|
Archer NX210 |
• v3.0:< 1.3.0 版本 260309 |
|
Archer NX200 |
• v3.0:< 1.3.0 版本 260309 |
建議:
我們強烈建議受影響設備的使用者採取以下措施:
- 下載並更新至最新韌體版本以修復漏洞。
注意:本安全公告中提到的產品不在美國銷售。
免責聲明:
如果您不採取所有建議的措施,此漏洞將依然存在。 TP-Link 對未遵循此建議而導致的任何後果概不負責。
這篇faq是否有用?
您的反饋將幫助我們改善網站